Políticas recomendadas do Microsoft Defender para aplicativos em nuvem dos aplicativos SaaS
Microsoft Defender para Aplicativos de Nuvem se baseia em políticas de acesso condicional Microsoft Entra para habilitar o monitoramento e o controle em tempo real de ações granulares com aplicativos SaaS, como bloquear downloads, uploads, copiar e colar e imprimir. Esse recurso adiciona segurança a sessões que carregam risco inerente, como quando recursos corporativos são acessados de dispositivos não gerenciados ou por usuários convidados.
O Defender para Aplicativos de Nuvem também se integra nativamente ao Proteção de Informações do Microsoft Purview, fornecendo inspeção de conteúdo em tempo real para encontrar dados confidenciais com base em tipos de informações confidenciais e rótulos de confidencialidade e tomar as medidas apropriadas.
Esta diretriz inclui recomendações para esses cenários:
- Trazer aplicativos SaaS para o gerenciamento de TI
- Ajustar a proteção para aplicativos SaaS específicos
- Configurar a DLP (prevenção contra perda de dados) do Microsoft Purview para ajudar a cumprir as regulamentações de proteção de dados
Trazer aplicativos SaaS para o gerenciamento de TI
A primeira etapa para usar o Defender para Aplicativos de Nuvem para gerenciar aplicativos SaaS é descobrir esses aplicativos e adicioná-los ao seu locatário Microsoft Entra. Se você precisar de ajuda com a descoberta, consulte Descobrir e gerenciar aplicativos SaaS em sua rede. Depois de descobrir aplicativos, adicione-os ao locatário Microsoft Entra.
Você pode começar a gerenciá-los fazendo o seguinte:
- Primeiro, em Microsoft Entra ID, crie uma nova política de acesso condicional e configure-a como "Usar Controle de Aplicativo de Acesso Condicional". Isso redireciona a solicitação para o Defender para Aplicativos de Nuvem. Você pode criar uma política e adicionar todos os aplicativos SaaS a essa política.
- Em seguida, no Defender para Aplicativos na Nuvem, crie políticas de sessão. Crie uma política para cada controle que você deseja aplicar.
As permissões para aplicativos SaaS normalmente são baseadas na necessidade comercial de acesso ao aplicativo. Essas permissões podem ser altamente dinâmicas. O uso de políticas do Defender para Aplicativos na Nuvem garante a proteção aos dados do aplicativo, independentemente de os usuários serem atribuídos a um grupo de Microsoft Entra associado ao ponto de partida, à empresa ou à proteção de segurança especializada.
Para proteger dados em toda a coleção de aplicativos SaaS, o diagrama a seguir ilustra a política de acesso condicional Microsoft Entra necessária, além de políticas sugeridas que você pode criar no Defender para Aplicativos de Nuvem. Neste exemplo, as políticas criadas no Defender para Aplicativos de Nuvem se aplicam a todos os aplicativos SaaS que você está gerenciando. Eles são projetados para aplicar controles apropriados com base em se os dispositivos são gerenciados, bem como rótulos de confidencialidade que já são aplicados aos arquivos.
A tabela a seguir lista a nova política de acesso condicional que você deve criar em Microsoft Entra ID.
| Nível de Proteção | Política | Mais informações |
|---|---|---|
| Todos os níveis de proteção | Usar o Controle de Aplicativo de Acesso Condicional no Defender para Aplicativos de Nuvem | Isso configura seu IdP (Microsoft Entra ID) para trabalhar com o Defender para Aplicativos de Nuvem. |
Esta próxima tabela lista as políticas de exemplo ilustradas acima que você pode criar para proteger todos os aplicativos SaaS. Avalie seus próprios objetivos de negócios, segurança e conformidade e crie políticas que forneçam a proteção mais apropriada para seu ambiente.
| Nível de Proteção | Política |
|---|---|
| Ponto de partida | Monitorar o tráfego de dispositivos não gerenciados Adicionar proteção aos downloads de arquivos de dispositivos não gerenciados |
| Empresa | Bloquear o download de arquivos rotulados com confidenciais ou classificados de dispositivos não gerenciados (isso fornece acesso somente ao navegador) |
| Segurança especializada | Bloquear o download de arquivos rotulados com classificados de todos os dispositivos (isso fornece acesso somente ao navegador) |
Para obter instruções de ponta a ponta para configurar o Controle de Aplicativo de Acesso Condicional, consulte Implantar o Controle de Aplicativo de Acesso Condicional para aplicativos em destaque. Este artigo orienta você no processo de criar a política de acesso condicional necessária em Microsoft Entra ID e testar seus aplicativos SaaS.
Para obter mais informações, consulte Proteger aplicativos com Microsoft Defender para Aplicativos de Nuvem Controle de Aplicativo de Acesso Condicional.
Ajustar a proteção para aplicativos SaaS específicos
Talvez você queira aplicar monitoramento e controles adicionais a aplicativos SaaS específicos em seu ambiente. O Defender para Aplicativos de Nuvem permite que você realize isso. Por exemplo, se um aplicativo como o Box for usado fortemente em seu ambiente, faz sentido aplicar mais controles. Ou, se o departamento jurídico ou financeiro estiver usando um aplicativo SaaS específico para dados comerciais confidenciais, você poderá direcionar proteção extra a esses aplicativos.
Por exemplo, você pode proteger seu ambiente Box com esses tipos de modelos internos de política de detecção de anomalias:
- Atividade de endereços de IP anônimos
- Atividade de país/região pouco frequente
- Atividade de endereços de IP suspeitos
- Viagem impossível
- Atividade executada pelo usuário encerrado (requer Microsoft Entra ID como IdP)
- Detecção de malware
- Múltiplas tentativas de login malsucedidas
- Atividade de ransomware
- Aplicativo Oauth arriscado
- Atividade incomum de compartilhamento de arquivos
Estes são exemplos. Modelos de política adicionais são adicionados regularmente. Para obter exemplos de como aplicar proteção adicional a aplicativos específicos, consulte Proteção de aplicativos conectados.
Como o Defender para Aplicativos na Nuvem ajuda a proteger seu ambiente box demonstra os tipos de controles que podem ajudá-lo a proteger seus dados de negócios no Box e em outros aplicativos com dados confidenciais.
Configurar a DLP (prevenção contra perda de dados) para ajudar a cumprir as normas de proteção de dados
O Defender para Aplicativos de Nuvem pode ser uma ferramenta valiosa para configurar a proteção para regulamentos de conformidade. Nesse caso, você cria políticas específicas para procurar dados específicos aos quais um regulamento se aplica e configurar cada política para tomar as medidas apropriadas.
A ilustração e a tabela a seguir fornecem vários exemplos de políticas que podem ser configuradas para ajudar a cumprir o Regulamento Geral de Proteção de Dados (GDPR). Nesses exemplos, as políticas buscam dados específicos. Com base na confidencialidade dos dados, cada política é configurada para tomar as medidas apropriadas.
| Nível de Proteção | Políticas de exemplo |
|---|---|
| Ponto de partida | Alerta quando arquivos que contêm esse tipo de informação confidencial ("Número do Cartão de Crédito") são compartilhados fora da organização Bloquear downloads de arquivos que contêm esse tipo de informação confidencial ("Número de cartão de crédito") para dispositivos não gerenciados |
| Empresa | Proteger downloads de arquivos que contêm esse tipo de informação confidencial ("Número de cartão de crédito") para dispositivos gerenciados Bloquear downloads de arquivos que contêm esse tipo de informação confidencial ("Número de cartão de crédito") para dispositivos não gerenciados Alerta quando um arquivo com esses rótulos é carregado em OneDrive for Business ou Caixa (dados do cliente, Recursos Humanos: Dados salariais, recursos humanos, dados de funcionários) |
| Segurança especializada | Alerta quando arquivos com esse rótulo ("Altamente classificados") são baixados para dispositivos gerenciados Bloquear downloads de arquivos com esse rótulo ("Altamente classificado") para dispositivos não gerenciados |
Próximas etapas
Para obter mais informações sobre como usar o Defender para Aplicativos de Nuvem, consulte Microsoft Defender para Aplicativos de Nuvem documentação.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de